原始出版日期: 2026 年 1 月 13 日
KB ID:5074952
本文內容
簡介
Windows 部署服務 (WDS) 支援基於網路的 Windows 作業系統部署。 一項常用功能——免持部署——依賴 Answer file (也稱為 Unattend.xml file) 來自動化安裝畫面,包括憑證管理。
安全風險: 當 unattend.xml 檔案透過未認證 (不安全的) RPC 通道傳輸時,可能會暴露敏感資料,並造成憑證盜用或遠端執行程式碼的風險。 同一網路上的攻擊者可能會攔截此檔案,導致憑證被入侵或遠端執行程式碼。
為了加強安全性,Microsoft 正在移除對不安全通道免持部署的支援。 這項變更將分兩個階段推行。
摘要
為了降低潛在的漏洞和安全風險,並加強安全性,Microsoft 預設取消了對不安全通道免持部署的支援。
欲了解更多關於此漏洞的資訊,請參閱 CVE-2026-0386。
重要: 此漏洞不影響 Microsoft Configuration Manager。 此問題僅發生在 原生 Windows 部署服務 (WDS) 情境下,當 Unattend.xml 檔案透過 RemoteInstall 共享被參考並暴露時。 Configuration Manager 不依賴此機制;它僅使用 WDS 提供 boot.wim 與網路啟動, (NBP) 檔案,這些檔案不受影響。
變動時間軸
Microsoft 將分兩階段推出強化變更。
第一階段 (2026 年 1 月 13 日) :免持部署持續支援,並可明確停用以增強安全性。
-
新增事件日誌警示。
-
提供登錄檔金鑰選項,可選擇安全或不安全模式。
第二階段 (2026 年 4 月 14 日) :免持部署預設為停用,但若有需要,可根據相關安全風險重新啟用
-
預設行為會改為 預設安全。
-
免持部署將不再有效,除非被登錄檔設定明確覆蓋。
採取行動!
重要: 若 2026 年 1 月至 4 月期間未 (登錄金鑰) 新增,免持部署將在 2026 年 4 月安全更新後被封鎖。
在本節中:
第一階段 (2026年1月13日)
選項一:啟用安全行為 (推薦)
為了啟用 CVE-2026-0386 所述的漏洞緩解措施並確保裝置安全,請於 2026 年 1 月 13 日或之後實施 Windows 更新。 接著,套用以下登錄檔設定來強制執行安全行為。
|
登錄位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名稱 |
允許HandsFree功能 |
|
數值資料 |
00000000
|
|
注意事項 |
|
選項二:繼續免持部署 (不安全) (不建議)
如果你想繼續使用免持部署,請將登錄檔鍵值設為 1:
|
登錄位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名稱 |
允許HandsFree功能 |
|
數值資料 |
00000001
|
|
注意 |
若在 1 月至 4 月期間未) 登錄金鑰 (在 4 月安全更新後未採取任何行動,免持部署將被阻擋。 |
登錄檔金鑰選項與行為
下表說明在登錄檔中設定 AllowHandsFreeFunctionality 值的行為。
|
登記處價值 |
模式 |
行為 |
未來影響 |
|
(缺席) |
不安全感 |
免持功能可行,但不安全。 發出事件日誌訊息 |
未來版本會讓免持功能壞掉 |
|
Dword:00000000 |
安全 |
封鎖未經認證的存取,免持部署將被停用 |
無變動 - 未認證存取將持續被封鎖,免持部署仍將被停用 |
|
Dword:00000001 |
不安全感 |
免持保存,但 不安全 |
沒有改變——免持部署會持續啟用,但 安全性不佳。 |
注意事項 未來的 Windows 更新中,預設的 AllowHandsFreeFunctionality 值會強制執行安全模式,除非被覆蓋。
第二階段 (2026年4月14日)
免持部署則完全停用,預設為安全配置。 管理員可以在了解相關安全風險後覆寫設定。
更新 上述變更已透過 2026 年 4 月 14 日及之後發布的 Windows 匯報正式推出。 此更新後,不再支援使用 WDS 的免持部署場景。 雖然有另一種免持部署方法被記錄,但涉及已知的安全風險,因此不建議採用。
在此階段,預設行為會改為 預設安全。
如果你需要繼續使用免持部署,請參考 第一階段,選項2 (不建議) 。
事件記錄
新增事件以協助管理員監控部署行為。
以下事件將記錄在 Microsoft-Windows-Deployment-Services-Diagnostics/Debug 日誌中:
安全模式
警告: 非值守檔案請求是透過不安全的連線提出的。 Windows 部署服務為了保護系統安全,已阻擋此請求。 更多資訊請參見:https://go.microsoft.com/fwlink/?linkid=2344403
附註: 此警告會在未使用安全通道時觸發 unattend.xml。
不安全模式
錯誤: 此系統使用不安全的 Windows 部署服務設定。 這可能會暴露敏感的設定檔,容易被攔截。 套用 Microsoft 推薦的安全設定來保護你的部署。 欲了解更多,請見:https://go.microsoft.com/fwlink/?linkid=2344403
當 unattend.xml 被不安全查詢或 WDS 啟動時,會觸發此錯誤。
2026年1月至4月 (行動步驟摘要)
-
檢視你的 WDS 設定,找出 unattend.xml 使用情況。
-
套用建議的登錄檔金鑰 (AllowHandsFreeDeployment=0) 來強制執行安全部署。
-
監控事件檢視器是否有與 unattend.xml 存取相關的警告或錯誤。
-
為 2026 年 4 月安全更新後的釋出做好準備,移除對免持部署的依賴。
-
安裝 Windows 匯報於 2026 年 4 月 14 日或之後發布後,使用 WDS 的免持部署場景預設被停用,且不再支援。
-
管理員可以覆寫免持部署的預設安全設定以繼續運作,但不建議這麼做。 我們建議關閉此功能以維持安全配置,並逐步轉換其他方法。
變更記錄
|
變更日期 |
變更描述 |
|
2026 年 4 月 14 日 |
|
